v4rrimka-san
Goto Top

Firewall Hardware (VM)

Hey,

Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM.
Zur Auswahl stehen OPNsense oder Sophos XG Home und diese wöllte ich gerne in einer VM laufen lassen

Mein Server:
I5 6500 4C/4T
24 GB RAM
5 GBIT lan + 1 GBit lan auf USB basis
Windows 10 Pro
-FileShare
-Hyper-V Host
VMS
-OpenVPN 1,5gb 1CPU (würde ja wegfallen)
-Windows 10 Pro 3CPUS 7GB RAM
-Windows 10 Home 2CPUS 2,5GB RAM

C.a 70 Heimnetzgeräte davon 5 Rechner.
500mbps Down und 20 Up

Geplant:
2-3 Cpus
6-8gb ram
2 Lan

Reicht diese Config aus oder soll ich es Lassen?

Die vms lasten den server nie zu 100% aus

MFG
V4

PS: es ist beabsichtigt, dass ich meine Firewall in eine VM packen möchte

Content-ID: 1430444963

Url: https://administrator.de/contentid/1430444963

Printed on: November 5, 2024 at 15:11 o'clock

Mystery-at-min
Mystery-at-min Oct 25, 2021 at 18:41:05 (UTC)
Goto Top
70 Netzgeräte? Was sollen die denn machen? Je nach dem kann das zu schwach oder zu stark sein, wobei das irgendwie nicht mehr nach einem Homesetup aussieht. Also besser Open Source oder eine UTM kaufen.
v4rrimka-san
v4rrimka-san Oct 25, 2021 at 18:50:50 (UTC)
Goto Top
Zitat von @Mystery-at-min:

70 Netzgeräte? Was sollen die denn machen? Je nach dem kann das zu schwach oder zu stark sein, wobei das irgendwie nicht mehr nach einem Homesetup aussieht. Also besser Open Source oder eine UTM kaufen.

Smarthome, Tablets, Handy, Laptop, Fernsehr, FireTVs, Einer 8 Personen Familie 2 Davon nur WE und 1 alle 2 woche und Gäste.
aqui
aqui Oct 25, 2021 at 19:28:45 (UTC)
Goto Top
Das was vorher der OpenVPN Server hatte kannst du für die Firewall VM nehmen. Gönn ihr 2 GB Max. reichen 4GB. Das reicht dann....
v4rrimka-san
v4rrimka-san Oct 25, 2021 at 19:35:52 (UTC)
Goto Top
Zitat von @aqui:

Das was vorher der OpenVPN Server hatte kannst du für die Firewall VM nehmen. Gönn ihr 2 GB Max. reichen 4GB. Das reicht dann....

Ok, das hört sich doch gut an. Jetzt kommt noch die frage welche Firewall Lösung face-smile MFG
Pjordorf
Pjordorf Oct 25, 2021 at 21:55:54 (UTC)
Goto Top
Hallo,

Zitat von @v4rrimka-san:
500mbits Down und 20 Up
Also nur 500 milliBit/s Download und 20 Aspirin im Upload, oder was? https://de.wikipedia.org/wiki/Daten%C3%BCbertragungsrate#Ma%C3%9Fe_der_D ... oder https://de.wikipedia.org/wiki/Liste_von_Gr%C3%B6%C3%9Fenordnungen_von_Da ... oder https://praxistipps.chip.de/was-bedeutet-mbits-verstaendlich-erklaert_46 ...

Geplant
2-3 Cpus
Kann dein Mutterbrett denn 3 CPUs gleichzeitig aufnehmen und damit arbeiten?

6-8gb ram
Indem du von deinen 24 GB RAM die Kontakte für die unnützen 16 - 18 GB RAM mit tesafilm abklebst?

2 Lan
Wozu dann erst 5 LAN anschaffen?

Ok, das hört sich doch gut an. Jetzt kommt noch die frage welche Firewall Lösung face-smile face-smile MFG
Na , die mit welcher du dich auskennts bzw. die dir besser gefällt und deinen Anforderungen gerecht wird. Ich selbst würde die Sophos (ehemals ASTARO) https://marjorie-wiki.de/wiki/Astaro nehmen.

Gruß,
Peter
v4rrimka-san
v4rrimka-san Oct 26, 2021 updated at 03:23:51 (UTC)
Goto Top
Ja im Download habe ich 500mbps und im Upload habe ich 20 Mbps
Geplant
2-3 Cpus
Kann dein Mutterbrett denn 3 CPUs gleichzeitig aufnehmen und damit arbeiten?
Mi CPUs meinte ich Kerne ja etwas Unglüclich ausgedrückt ich weis. die ich der VM zuweise.

6-8gb ram
Indem du von deinen 24 GB RAM die Kontakte für die unnützen 16 - 18 GB RAM mit tesafilm abklebst?

VM?

2 Lan
Wozu dann erst 5 LAN anschaffen?
VM?

Ok, das hört sich doch gut an. Jetzt kommt noch die frage welche Firewall Lösung face-smile face-smile MFG
Na , die mit welcher du dich auskennts bzw. die dir besser gefällt und deinen Anforderungen gerecht wird. Ich selbst würde die Sophos (ehemals ASTARO) https://marjorie-wiki.de/wiki/Astaro nehmen.

Gruß,
Peter
TomTomBon
TomTomBon Oct 26, 2021 updated at 06:19:05 (UTC)
Goto Top
Moin v4,

Peter reitet mehr auf der Sprache rum face-smile
Nimm es ihm nicht krumm.
Nicht Du spezifisch, aber manche verbiegen die Sprache...
Wobei, das rumreiten auf MILLIbit bei mBit..
Ja, es sind MBit (1 Megabit --> 1/8 MByte)

Meine Empfehlung zu der HW lautet das Ich dies aus Energiegründen überlegen würde.
Generell ist ausser zu Testzwecken eine FW in einer VM nicht empfehlenswert..
Ich kenne den Punkt mit der Verwendung alter HW face-smile
Aber die FW kann gut auf einer APU zB gemacht werden.
Varia Store hat viele gute.
Zum Selbst zusammenstellen, aber auch fertige wie diese:
https://www.varia-store.com/de/produkt/107050-ipfire-ready-system-apu4d4 ...

Noch ein Tipp HIERFÜR:
Lies dir die Anleitungen von @aqui hier im Forum durch !


Wenn der Rest der HW stromfressend ist, es sind ja Desktop und nicht Laptop Komponenten, würde Ich überlegen auch den zu wechseln.
Und als Hypervisor nicht W10 Pro nehmen sondern einen echten HyperVisor.
Ich würde persönlich empfehlen Proxmox, aber esxi soll auch gut sein.
Wenn man den ServerManager von MS versteht kann man auch sehr gut den kostenfreien MS Server 2019 HyperVisor nehmen.
http://woshub.com/install-configure-free-hyper-v-server/
https://www.microsoft.com/de-de/evalcenter/evaluate-hyper-v-server-2019

Dann kann man auch den unabhängig von der FW ihn ausschalten.

Für die HW des VM Server würde Ich persönlich mir folgendes überlegen, Ich gebe gerne Beispiele face-smile
https://www.thomas-krenn.com/de/produkte/low-energy-systeme.html
8d265c91-c1e0-46db-b8b0-54b43d08ced7
les 1
les 2

Und eine Bsp Konfiguration eines Wirklich gut performanten Systems:
4dab1467-5925-4a2f-82b6-f2dbf199bad3


Oder einen ODROID H2C
4+4 Kerne, 2GB RAM
Kein Brenner, aber für ein NAS..

27b48ac6-101f-44ed-941c-5285270cd4d2
https://www.reichelt.de/de/de/odroid-hc2-8x-1-4-2-0-ghz-2-gb-ram-odroid- ...


Ich weiß, Ich erzeuge nur nochmehr Fragen.
Aber auch Möglichkeiten face-smile
v4rrimka-san
v4rrimka-san Oct 26, 2021, updated at Apr 21, 2022 at 15:18:55 (UTC)
Goto Top
Zitat von @TomTomBon:

Moin v4,

Peter reitet mehr auf der Sprache rum face-smile
Nimm es ihm nicht krumm.
Nicht Du spezifisch, aber manche verbiegen die Sprache...
Wobei, das rumreiten auf MILLIbit bei mBit..
Ja, es sind MBit (1 Megabit --> 1/8 MByte)

Alles gut, ja ich verdrehe es auch manchmal ein wenig :D und LAN, CPUs war unglücklich gewählt aber z.b bei mir im Kreis reden wir eher so das gewöhnt man sich halt an.

Meine Empfehlung zu der HW lautet das Ich dies aus Energiegründen überlegen würde.
Generell ist ausser zu Testzwecken eine FW in einer VM nicht empfehlenswert..
Ich kenne den Punkt mit der Verwendung alter HW face-smile
Es ist keine alte Hardware ich habe diese erst frisch bezogen hatte vorher ein I53770 laufen
Aber die FW kann gut auf einer APU zB gemacht werden.
Varia Store hat viele gute.
Zum Selbst zusammenstellen, aber auch fertige wie diese:
https://www.varia-store.com/de/produkt/107050-ipfire-ready-system-apu4d4 ...

Ja das meinen Einige, ich hatte mich da aber eher Bewusst für entschieden da der Server so oder so im Dauerbetrieb ist und er die Nötigen Karten schon besitzt. Das eine FW auch auf eine APU kann ist mir geläufig, aber heist wieder mehr Geld ausgeben und da ich bestehende HW habe, würde ich gerne diese verwenden. Und eine VM ist schnell mal wieder neu aufgezogen, sollte was Schiefgehen. Ich mach das ja für das Heimnetz und nicht für"s unternehmen im Unternehmen würde ich auch auf eine HWFW gehen.


Noch ein Tipp HIERFÜR:
Lies dir die Anleitungen von @aqui hier im Forum durch !


Wenn der Rest der HW stromfressend ist, es sind ja Desktop und nicht Laptop Komponenten, würde Ich überlegen auch den zu wechseln.

Ja mit der Zeit werde ich einiges umswitchen.

Und als Hypervisor nicht W10 Pro nehmen sondern einen echten HyperVisor.
Ich würde persönlich empfehlen Proxmox, aber esxi soll auch gut sein.
Wenn man den ServerManager von MS versteht kann man auch sehr gut den kostenfreien MS Server 2019 HyperVisor nehmen.
http://woshub.com/install-configure-free-hyper-v-server/
https://www.microsoft.com/de-de/evalcenter/evaluate-hyper-v-server-2019

Den Hypervisor zu wechseln ist zwar eine Überlegung von mir aber da ich BitLocker NTFS platten benutze sehr umständlich.

Dann kann man auch den unabhängig von der FW ihn ausschalten.

Das ist eher weniger nötig da alle Systeme Dauer erreichbar sein müssen da Einige aus der Familie da aufstehen wo andere ins Bett gehen was so was leider nicht möglich macht (Ja das geht ins Geld)

Für die HW des VM Server würde Ich persönlich mir folgendes überlegen, Ich gebe gerne Beispiele face-smile
https://www.thomas-krenn.com/de/produkte/low-energy-systeme.html


Oder einen ODROID H2C
4+4 Kerne, 2GB RAM
Kein Brenner, aber für ein NAS..

https://www.reichelt.de/de/de/odroid-hc2-8x-1-4-2-0-ghz-2-gb-ram-odroid- ...


Ich weiß, Ich erzeuge nur nochmehr Fragen.
Aer auch Möglichkeiten face-smile

Kein Problem, Ich bin noch am Schauen was den HyperVisor betrifft aber die Umstellung würden schwierigkeiten bedeuten da wie schon erwähnt 7 BitlockerNTFS platten im Einsatz sind ich müsste diese Erst entsperren und dann die Formatierung ändern. und würde sie dann gerne wieder Verschlüsseln. Vllt gibt es da ja Möglichkeiten.

MFG
V4
149130
149130 Oct 26, 2021 updated at 09:55:03 (UTC)
Goto Top
Also ich werfe mal ipfire in die Runde. Das ist auch eine Firewall Lösung welche ich seit Jahren zuverlässig zu Hause einsetze. Bei mir läuft das auf einem cirrus7 Nimbus der hinter meinen ISP Router steht. Die Firewall Lösung ist zuverlässig und kann auch virtualisiert werden wenn nötig. Auf meinem Cirrus7 Nimbus ist ipfire nativ installiert und mit dem QEMU Paket betreibe ich sogar VM`s direkt auf dem System (webproxy, nextcloud, checkMK Monitoringsystem etc.). Es gibt auch weitere Pakete die die Firewall erweitern und so dein Netzwerk absichern.

MfG Paul
v4rrimka-san
v4rrimka-san Oct 26, 2021 at 09:58:21 (UTC)
Goto Top
Zitat von @149130:

Also ich werfe mal ipfire in die Runde. Das ist auch eine Firewall Lösung welche ich seit Jahren zuverlässig zu Hause einsetze. Bei mir läuft das auf einem cirrus7 Nimbus der hinter meinen ISP Router steht. Die Firewall Lösung ist zuverlässig und kann auch virtualisiert werden wenn nötig. Auf meinem Cirrus7 Nimbus ist ipfire nativ installiert und mit dem QEMU Paket betreibe ich sogar VM`s direkt auf dem System (webproxy, nextcloud, checkMK Monitoringsystem etc.). Es gibt auch weitere Pakete die die Firewall erweitern und so dein Netzwerk absichern.

MfG Paul

Ja von IPfire habe ich auch schon gehört gucke ich mir mal Näher an.
george44
george44 Nov 01, 2021 at 09:45:20 (UTC)
Goto Top
Ich habe jahrelang meine Firewall (pfsense) in einer VM gefahren - und erst kürzlich auf separate Hardware (APU) umgestellt. Und kann das nur wärmstens empfehlen, nicht nur aus Sicherheits- sondern auch aus Service- und Supportgründen, vor allem auch bei Konfigurationsthemen im VM-Bereich.
TomTomBon
TomTomBon Nov 01, 2021 at 11:47:35 (UTC)
Goto Top
Bitlocker ist keine Trivialität.
Aber auch kein Problem!
Auch für Linux nicht.

ESXi kann Ich keine aussagen zu treffen.
Aber in der Ubuntu / Debian Welt geht Bitlocker.

Und unter MS Server 2019 HyperV sowieso WENN das entsprechende Feature aktiviert wurde face-wink

Vorteile bei HyperV:
Man ist in der bekannten Windows Welt
Die Belastung des Systems mit unnötig laufender Zusatz SW ist viel geringer als bei W10, das ist bei allen Servern Systemen so!
Dazu ist auch noch die Leistung besser als bei Desktop Systemen.

Nachteil:
Man muss für vieles den ServerManager benutzen.
Lokal ist es umständlicher am Anfang da man die CMD benutzen muss.
Allerdings funktioniert es normale Programme zu installieren, nur halt ohne Desktop, ohne Explorer und ohne Shortcuts..
Am Anfang ist ein alternativer Explorer wie Multi Commander, oder Total Commander, vielleicht nicht schlecht.
v4rrimka-san
v4rrimka-san Nov 01, 2021 at 15:43:20 (UTC)
Goto Top
Zitat von @TomTomBon:

Bitlocker ist keine Trivialität.
Aber auch kein Problem!
Auch für Linux nicht.

ESXi kann Ich keine aussagen zu treffen.
Aber in der Ubuntu / Debian Welt geht Bitlocker.

Und unter MS Server 2019 HyperV sowieso WENN das entsprechende Feature aktiviert wurde face-wink

Vorteile bei HyperV:
Man ist in der bekannten Windows Welt
Die Belastung des Systems mit unnötig laufender Zusatz SW ist viel geringer als bei W10, das ist bei allen Servern Systemen so!
Dazu ist auch noch die Leistung besser als bei Desktop Systemen.

Nachteil:
Man muss für vieles den ServerManager benutzen.
Lokal ist es umständlicher am Anfang da man die CMD benutzen muss.
Allerdings funktioniert es normale Programme zu installieren, nur halt ohne Desktop, ohne Explorer und ohne Shortcuts..
Am Anfang ist ein alternativer Explorer wie Multi Commander, oder Total Commander, vielleicht nicht schlecht.


Man kann doch ein Desktop von einen 3 Anbieter installieren.
aqui
aqui Nov 01, 2021 at 16:46:35 (UTC)
Goto Top
Man kann doch ein Desktop von einen 3 Anbieter installieren.
Bahnhof ?, Ägypten ?
v4rrimka-san
v4rrimka-san Nov 01, 2021 at 17:53:04 (UTC)
Goto Top
Zitat von @aqui:

Man kann doch ein Desktop von einen 3 Anbieter installieren.
Bahnhof ?, Ägypten ?

Auf den hyper-v Server bezogen: gemeint war die 3 Anbieter Desktop Lösung, Cairo.
TomTomBon
TomTomBon Nov 02, 2021 at 07:12:54 (UTC)
Goto Top
Also

HyperV Server sind bis 2019 inkl kostenfrei.
Wahrscheinlich wird für Server 2022 keiner mehr kommen.
Auf diesem HyperV läuft jede häufig verwendete Distribution.
"Alle" Windosen (Ab 7 in jedem Fall), Debian, Ubuntu und sicherlich auch einige andere Richtungen Linux.
(Nicht vergessen, viele Linux Derivate sind Absplitterungen von Debian oder Ubuntu und sind es im Unterbau noch, siehe Linux Mint, wenn Linux ein Aspekt sein sollte)
Prinzip bedingt ist der Aufbau von HyperV in Win10 und auf dem HyperV aber (fast) identisch.

Das was mehr zickt ist die ServerManager Konsole, bzw das erstellen einer gesicherten Verbindung zu diesem mit Powershell.
Gibt aber auch massig Anleitungen.

ProxMox und ESXi sind Unterbau mässig her auf Linux Basis.
Schlanker.
ProxMox rockt richtig meiner Meinung nach da KVM basierend.


Da alle 3 aber eine EXTERNE Verwaltungskonsole benötigen, sollte man sich die Zeit nehmen und die Einrichtung und den Umgang mit dieser Konsole beschäftigen.
Denn die Verbindung der Kosnole zu ProxMox ist einfach (ist ein Webserver).
Bei ESXi glaube Ich auch nicht viel anders.
ABER bei Win HyperV Server wird eine komplette TRUST Verbindung aufgebaut.


Alle 3 Anbieter sind kostenfrei.

ProxMox
https://www.proxmox.com/de/proxmox-ve

ESXi (VMWare)
https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.esxi.install.do ...

HyperV
https://www.microsoft.com/en-us/evalcenter/evaluate-hyper-v-server-2019
v4rrimka-san
v4rrimka-san Nov 03, 2021, updated at Nov 04, 2021 at 14:35:42 (UTC)
Goto Top
Zitat von @TomTomBon:

Also

HyperV Server sind bis 2019 inkl kostenfrei.
Wahrscheinlich wird für Server 2022 keiner mehr kommen.
Das habe ich auch schon gehört
Auf diesem HyperV läuft jede häufig verwendete Distribution.
"Alle" Windosen (Ab 7 in jedem Fall), Debian, Ubuntu und sicherlich auch einige andere Richtungen Linux.
(Nicht vergessen, viele Linux Derivate sind Absplitterungen von Debian oder Ubuntu und sind es im Unterbau noch, siehe Linux Mint, wenn Linux ein Aspekt sein sollte)

Mit Linux beschäftige ich mich schon ne Weile, derzeit läuft ein Ubuntu Server mit docker in einer hyper-v vm.

Prinzip bedingt ist der Aufbau von HyperV in Win10 und auf dem HyperV aber (fast) identisch.

Das ist gut

Das was mehr zickt ist die ServerManager Konsole, bzw das erstellen einer gesicherten Verbindung zu diesem

Gibt aber auch massig Anleitungen.
Ok
ProxMox und ESXi sind Unterbau mässig her auf Linux Basis.
Schlanker.
Das ist bei linux ja Schon immer einer der größten Vorteile gewesen
ProxMox rockt richtig meiner Meinung nach da KVM basierend.

KVM ist neben Hyper-V mein Favorit fragt sich nur wie schwer der Umzug ist. Und ob ich ohne Probleme mein derzeitiges Festplatten und Freigabe System weiter benutzen kann. (Natürlich auf Proxmox angepasst)


Da alle 3 aber eine EXTERNE Verwaltungskonsole benötigen, sollte man sich die Zeit nehmen und die Einrichtung und den Umgang mit dieser Konsole beschäftigen.
Denn die Verbindung der Kosnole zu ProxMox ist einfach (ist ein Webserver).
Bei ESXi glaube Ich auch nicht viel anders.
ABER bei Win HyperV Server wird eine komplette TRUST Verbindung aufgebaut.


Alle 3 Anbieter sind kostenfrei.
ProxMox
https://www.proxmox.com/de/proxmox-ve

ESXi (VMWare)
https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.esxi.install.do ...

HyperV
https://www.microsoft.com/en-us/evalcenter/evaluate-hyper-v-server-2019

Was es schlussendlich wird weis ich noch nicht bisher bin ich ziemlich zufrieden von der Leistung von win 10 pro (die für mich dank oem pc eh kostenlos war) was mich überrascht, (ich mag Windows aufgrund seiner Fehler nicht so gern bin aber drauf angewiesen) ich habe ziemlich viele Dienste deaktiviert und unnötige Features und UWP Apps deinstalliert. Was ich halt für die Verwaltung praktisch finde weswegen ich auf Win10 gegangen bin ist RDP, WinServer ist natürlich auch eine Alternative (sehr wahrscheinlich auch die Beste für mein use case) aber naja die Lizenz ist nicht gerade billig.


Mal was anderes gestern habe ich mal ein Konsum Test gemacht und war sehr positiv von dem Verbrauch meines Netzwerk Knotenpunktes überrascht
Win10 pro Maschine (i5 6500+24gb ram)
+
24port Managed Switch.
1 4bay externes Festplatten Gehäuse.
2 externe 3,5 HDDs

Gerade „mal“ 60 Watt im normal betrieb. Das hat mich sehr positiv überrascht da die Anfänge von mir mit einem Celeron aus 2012 schon bei 100watt waren (allein stehend und Festplatten alle intern) vom i5 aus der selben Generation (i5 3570)brauch ich gar nicht erst zu reden. (120-130watt alleinstehend)
v4rrimka-san
Solution v4rrimka-san Feb 24, 2022 at 15:35:00 (UTC)
Goto Top
Ich habe mir jetzt gebraucht eine Firewall geholt und empfehle es jeden da es somit nicht vom Host abhängt, ob das Internet funktioniert und weiter. Eine VM würde denn Host bei 4C 4T mind. zur Hälfte voll auslasten.


Serverschrank verbrauch ~ 100w